Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Obligaciones del responsable de seguridad de los sistemas de información

¿Si un trabajador no realiza el trabajo, con la diligencia debida, se le puede corregir disciplinariamente, incluso despedirle? 

El caso que les relato, a continuación, es real y fue objeto de disputa en los tribunales de justicia. Lo resolvió el Tribunal Superior de Justicia de Madrid, Sala de lo Social, Sección 6ª, Sentencia nº 265/2023, de 14 de abril de 2023 (Rec. nº 919/2022), que dejo enlazada aquí.

El caso

El Responsable de Seguridad en el Departamento de Tecnología y Sistemas de la compañía Correos Express fue despedido tras detectarse que no había un control de los equipos y material informático con acceso a los sistemas de información de la compañía y que las medidas de seguridad informática no eran las adecuadas (elementales, de carácter reactivo y prácticamente ninguna de carácter activo, componentes de infraestructura de seguridad y comunicaciones ya adjudicados y sin implantar como firewalls y ausencia de autenticación de doble factor con certificado). A mayores, se le acusa de falta de control de contratos, incurriendo en excesos no presupuestados y reconocimientos de deuda que han dañado, gravemente, la reputación de la compañía.

El trabajador recurrió su despido. La empresa alegó trasgresión de la buena fe contractual, así como abuso de confianza en el desempeño del trabajo, considerándose como tales el fraude o la deslealtad en las gestiones encomendadas, añadida a la imprudencia o negligencia en acto de servicio. Decir que la empresa sufrió, días después de la incorporación del trabajador a su puesto de responsabilidad, un ciberataque que le ocasionó pérdidas por valor de 319.655 €.

El Juzgado de lo Social nº 47 de Madrid dictó sentencia el 12 de julio de 2022, declarando el despido improcedente. La empresa recurrió y el TSJ de Madrid confirmó el fallo, condenando a la empresa a optar entre la readmisión del trabajador con abono de los salarios de tramitación o el abono al mismo de una indemnización cifrada en la cantidad de 6.564,75 € más costas, en cualquier de los casos, que el tribunal tasó en 700 € más IVA.

El tribunal declaró probado que el acceso al sistema informático, tras el ciberataque, se realizó a través de las credenciales de usuario y contraseña que se robaron a un empleado básico, lo que indica que el acceso fue común y ordinario, sin que el sistema pudiese detectar la entrada de un usuario que estaba autorizado, aunque la persona que lo utilizaba fuese un tercero no autorizado, y luego, una vez dentro, un usuario experimentado, que tiene acceso a información sensible, accedió a los servidores cifrando discos e introduciendo un virus habitual.

Para el tribunal la falta de control de los equipos y dispositivos con acceso al sistema de información y la ausencia de instrumentos como firewall no fueron relevantes. Decir esto es desconocer el funcionamiento de los firewalls de última generación, que se muestran muy efectivos frente a los ciberataques (restringen el acceso a los usuarios de VPN y solo permitir direcciones IP autorizadas).

Conclusión 

La persona responsable de la seguridad de los sistemas de información tiene encomendadas una serie de funciones que resultan esenciales para asegurar la continuidad de cualquier negocio frente a las ciberamenazas, como implantar medidas de seguridad en la red, instalar herramientas de seguridad como firewalls y antivirus, desplegar tecnologías de cifrado, auditar los sistemas de seguridad a fin de asegurar que no existen debilidades… en definitiva, el trabajador tiene encomendada la importante labor de planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información y garantizar la confidencialidad, integridad y disponibilidad.

En este caso, el trabajador despedido se salvó por una sencilla razón: llevaba sólo 26 días en su cargo. El descontrol venía de tiempo atrás, pero con algo más de tiempo en el cargo el despido sería calificado como procedente.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).